Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Senza credenziali, senza avvisi evidenti. Una vulnerabilità che si lascia sfruttare da remoto e che, se usata nel modo giusto, apre la porta all’esecuzione di codice. Non proprio una situazione tranquilla.
E la cosa che inquieta è proprio questa semplicità. Nessuna autenticazione richiesta. Basta la rete.
Stiamo parlando di una nuova vulnerabilità identificata come CVE-2026-21992 che riguarda due componenti ben precisi: Oracle Identity Manager e Oracle Web Services Manager. Entrambi, se esposti, possono diventare un punto d’ingresso per attacchi remoti.
Il problema nasce nei servizi web, in particolare nelle interfacce REST e nei meccanismi di sicurezza dei web services. Parliamo di comunicazioni via HTTP, quindi qualcosa di molto diffuso, quotidiano. E anche le varianti sicure sono coinvolte.
Il punteggio è alto, il CVSS è 9.8. Tradotto: se hai infrastrutture nella tua rete che sono affette da questo bug dovresti effettuare il patching immediatamente. L’attacco avviene via rete, con complessità bassa e senza alcun privilegio richiesto. Nessuna interazione da parte dell’utente.
E quando va a segno, l’impatto è totale: riservatezza, integrità e disponibilità vengono compromesse. Tutto. Senza mezzi termini.
Versioni coinvolte? Oracle Identity Manager e Oracle Web Services Manager nelle release 12.2.1.4.0 e 14.1.2.1.0. E qui viene il dubbio: quante installazioni sono ancora ferme a queste versioni? Nella tua rete quante c’è ne sono?
Sono state rilasciate due patch specifiche attraverso il programma Security Alert. Però attenzione: sono disponibili solo per le versioni ancora supportate, cioè quelle sotto Premier o Extended Support.
Le versioni più vecchie? Non testate. Ma realisticamente vulnerabili. E infatti viene suggerito un aggiornamento diretto alle versioni supportate dal vendor.
La gestione delle patch segue le policy di correzione errori del Fusion Middleware. Nulla di nuovo, ma spesso trascurato. Un classico esempio: sistemi aggiornati a metà, magari per “non rompere nulla”.
E invece…
Verso la fine dell’analisi, Oracle ribadisce chiaramente la necessità di applicare subito gli aggiornamenti disponibili, come indicato nel bollettino ufficiale consultabile a questo indirizzo.
Per RHC, quando una vulnerabilità non richiede autenticazione e ha impatto completo, non è più solo un problema tecnico. È una questione di priorità operative.
Rimandare un aggiornamento in questi casi significa esporsi consapevolmente al rischio. E oggi, questo, non è più accettabile.
